调优网络（任务列表）

请告诉我们如何提高我们的文档：

Your rating has been updated

感谢您的反馈！

您的反馈将非常有助于我们提供更好的文档。您是否愿意参与我们的内容改进并提供进一步的意见？

任务	说明	参考
禁用网络路由选择守护进程。	限制可能存在的网络探查器访问系统。	如何禁用网络路由选择守护进程
防止散播有关网络拓扑的信息。	防止广播包。	如何禁用广播包转发
防止散播有关网络拓扑的信息。	阻止对广播回显请求和多播回显请求的响应。	如何禁用回显请求的响应
对于充当其他域的网关的系统（例如防火墙或 VPN 节点），打开严格的源和目标多宿主。	阻止其标头中没有网关地址的包在网关外移动。	如何设置严格多宿主
通过控制不完整系统连接的数量阻止 DOS 攻击。	限制 TCP 侦听器所允许的不完整 TCP 连接数。	如何设置不完整 TCP 连接的最大数目
通过控制允许的传入连接数阻止 DOS 攻击。	指定 TCP 侦听器的缺省最大暂挂 TCP 连接数。	如何设置暂挂 TCP 连接的最大数目
为初始 TCP 连接生成强随机数。	符合 RFC 6528 指定的序列号生成值。	如何为初始 TCP 连接指定强随机数
防止 ICMP 重定向。	删除网络拓扑的指示符。	如何禁止 ICMP 重定向
将网络参数恢复为安全的缺省值。	提高因管理操作而降低的安全性。	如何将网络参数重置为安全值

如何禁用网络路由选择守护进程

使用此过程可在安装后阻止网络路由，方法是指定缺省路由器。否则，请在手动配置路由后执行此过程。

注 - 许多网络配置过程都要求禁用路由选择守护进程。因此，您可能已在某个大型配置过程中禁用此守护进程。

开始之前

您必须成为分配有 "Network Management"（网络管理）权限配置文件的管理员。有关更多信息，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何使用指定给您的管理权限"。

检验路由选择守护进程是否正在运行。

# svcs -x svc:/network/routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: online since April 10, 2011 05:15:35 AM PDT
   See: in.routed(1M)
   See: /var/svc/log/network-routing-route:default.log
Impact: None.

如果服务未运行，则可在此处停止。

禁用路由选择守护进程。

# routeadm -d ipv4-forwarding -d ipv6-forwarding
# routeadm -d ipv4-routing -d ipv6-routing
# routeadm -u

检验路由选择守护进程是否已被禁用。

# svcs -x routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: disabled since April 11, 2011 10:10:10 AM PDT
Reason: Disabled by an administrator.
   See: http://support.oracle.com/msg/SMF-8000-05
   See: in.routed(1M)
Impact: This service is not running.

另请参见

routeadm(1M) 手册页

如何禁用广播包转发

缺省情况下，Oracle Solaris 将转发广播包。如果您的站点安全策略要求您降低广播泛洪的可能性，请使用此过程更改缺省设置。

注 - 在禁用 _forward_directed_broadcasts 网络属性时，将禁用广播 ping。

开始之前

将 IP 包的广播包转发属性设置为 0。

# ipadm set-prop -p _forward_directed_broadcasts=0 ip

检验当前值。

# ipadm show-prop -p _forward_directed_broadcasts ip
PROTO  PROPERTY                     PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _forward_directed_broadcasts  rw   0         --           0         0,1

另请参见

ipadm(1M) 手册页

如何禁用回显请求的响应

使用此过程可防止散播有关网络拓扑的信息。

开始之前

将 IP 包对广播回显请求的响应属性设置为 0，然后检验当前值。

# ipadm set-prop -p _respond_to_echo_broadcast=0 ip

# ipadm show-prop -p _respond_to_echo_broadcast ip
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_echo_broadcast rw   0         --           1         0,1

将 IP 包对多播回显请求的响应属性设置为 0，然后检验当前值。

# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv6

# ipadm show-prop -p _respond_to_echo_multicast ipv4
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _respond_to_echo_multicast rw   0         --           1         0,1
# ipadm show-prop -p _respond_to_echo_multicast ipv6
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _respond_to_echo_multicast rw   0         --           1         0,1

另请参见

如何设置严格多宿主

对于充当其他域的网关的系统（例如防火墙或 VPN 节点），使用此过程可打开严格多宿主。hostmodel 属性可控制 IP 包在多宿主系统上的发送和接收行为。

开始之前

将 IP 包的 hostmodel 属性设置为 strong。

# ipadm set-prop -p hostmodel=strong ipv4
# ipadm set-prop -p hostmodel=strong ipv6

检验当前值并注意可能的值。

# ipadm show-prop -p hostmodel ip
PROTO  PROPERTY    PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   hostmodel   rw   strong    strong       weak      strong,src-priority,weak
ipv4   hostmodel   rw   strong    strong       weak      strong,src-priority,weak

另请参见

有关更多信息，请参见《Oracle Solaris 11.1 可调参数参考手册》中的"hostmodel（ipv4 或 ipv6）"和 ipadm(1M) 手册页。

有关严格多宿主使用情况的更多信息，请参见如何在隧道模式下使用 IPsec 保护 VPN。

如何设置不完整 TCP 连接的最大数目

使用此过程可通过控制不完整的暂挂连接数阻止拒绝服务 (denial of service, DOS) 攻击。

开始之前

设置最大传入连接数。

# ipadm set-prop -p _conn_req_max_q0=4096 tcp

检验当前值。

# ipadm show-prop -p _conn_req_max_q0 tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q0  rw   4096      --           128       1-4294967295

另请参见

有关更多信息，请参见《Oracle Solaris 11.1 可调参数参考手册》中的"_conn_req_max_q0"和 ipadm(1M) 手册页。

如何设置暂挂 TCP 连接的最大数目

使用此过程可通过控制允许的传入连接数阻止 DOS 攻击。

开始之前

设置最大传入连接数。

# ipadm set-prop -p _conn_req_max_q=1024 tcp

检验当前值。

# ipadm show-prop -p _conn_req_max_q tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q   rw   1024      --           128       1-4294967295

另请参见

有关更多信息，请参见《Oracle Solaris 11.1 可调参数参考手册》中的"_conn_req_max_q"和 ipadm(1M) 手册页。

如何为初始 TCP 连接指定强随机数

以下过程设置 TCP 初始序列号生成参数以遵守 RFC 6528。

开始之前

您必须是分配有 solaris.admin.edit/etc.default/inetinit 授权的管理员。缺省情况下，root 角色拥有此授权。有关更多信息，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何使用指定给您的管理权限"。

更改 TCP_STRONG_ISS 变量的缺省值。

# pfedit /etc/default/inetinit
# TCP_STRONG_ISS=1
TCP_STRONG_ISS=2

重新引导系统。
```
# /usr/sbin/reboot
```

如何禁止 ICMP 重定向

路由器使用 ICMP 重定向消息通知主机更多指向目标的直接路由。非法的 ICMP 重定向消息可能导致 "man-in-the-middle"（中间人）攻击。

开始之前

将 IP 包的忽略重定向属性设置为 1，然后检验当前值。

ICMP 重定向消息可修改主机的路由表且未通过验证。此外，重定向包的处理可增加系统 CPU 需求。

# ipadm set-prop -p _ignore_redirect=1 ipv4
# ipadm set-prop -p _ignore_redirect=1 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _ignore_redirect  rw   1         1            0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _ignore_redirect  rw   1         1            0         0,1

防止发送 ICMP 重定向消息。

这些消息包括可显示网络拓扑的一部分的路由表信息。

# ipadm set-prop -p _send_redirects=0 ipv4
# ipadm set-prop -p _send_redirects=0 ipv6
# ipadm show-prop -p _send_redirects ipv4
PROTO PROPERTY          PERM CURRENT  PERSISTENT   DEFAULT  POSSIBLE
ipv4  _send_redirects   rw   0        0            1        0,1

# ipadm show-prop -p _send_redirects ipv6
PROTO  PROPERTY        PERM CURRENT   PERSISTENT   DEFAULT  POSSIBLE
ipv6  _send_redirects  rw   0         0            1        0,1

有关更多信息，请参见《Oracle Solaris 11.1 可调参数参考手册》中的"_send_redirects（ipv4 或 ipv6）"和 ipadm(1M) 手册页。

如何将网络参数重置为安全值

许多缺省情况下安全的网络参数是可调的，因此可能已发生变化，不再是缺省值。如果站点条件允许，可将以下可调参数恢复为缺省值。

开始之前

将 IP 包的源包转发属性设置为 0，然后检验当前值。

缺省值可阻止来自欺骗性包的 DOS 攻击。

# ipadm set-prop -p _forward_src_routed=0 ipv4
# ipadm set-prop -p _forward_src_routed=0 ipv6
# ipadm show-prop -p _forward_src_routed ipv4
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _forward_src_routed   rw   0         --           0         0,1
# ipadm show-prop -p _forward_src_routed ipv6
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _forward_src_routed   rw   0         --           0         0,1

将 IP 包的网络掩码响应属性设置为 0，然后检验当前值。

缺省值可防止散播有关网络拓扑的信息。

# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip
# ipadm show-prop -p _respond_to_address_mask_broadcast ip
PROTO PROPERTY                           PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_address_mask_broadcast rw   0         --           0         0,1

将 IP 包的时间戳响应属性设置为 0，然后检验当前值。

缺省值可删除系统上的其他 CPU 需求，并防止散播有关网络的信息。

# ipadm set-prop -p _respond_to_timestamp=0 ip
# ipadm show-prop -p _respond_to_timestamp ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp            rw   0         --           0         0,1

将 IP 包的广播时间戳响应属性设置为 0，然后检验当前值。

缺省值可删除系统上的其他 CPU 需求，并防止散播有关网络的信息。

# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip
# ipadm show-prop -p _respond_to_timestamp_broadcast ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp_broadcast  rw   0         --           0         0,1

阻止 IP 源路由。
缺省值可防止包绕过网络安全措施。源路由包允许包的源建议路由器上配置的路径以外的其他路径。

注 - 可将该参数设置为 1 以用于诊断目的。诊断完成后，将该值变回 0。
```
# ipadm set-prop -p _rev_src_routes=0 tcp
# ipadm show-prop -p _rev_src_routes tcp
PROTO PROPERTY          PERM CURRENT  PERSISTENT  DEFAULT  POSSIBLE
tcp   _rev_src_routes   rw   0        --          0        0,1
```
有关更多信息，请参见《Oracle Solaris 11.1 可调参数参考手册》中的"_rev_src_routes"。

另请参见

ipadm(1M) 手册页

跳过导航链接
退出打印视图
	在 Oracle Solaris 11.1 中保护网络安全 Oracle Solaris 11.1 Information Library (简体中文)